Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Introducción.....................................................................................................................................1
Objetivos..........................................................................................................................................2
Objetivo general........................................................................................................................2
Objetivos específicos................................................................................................................2
Tabla de comparación......................................................................................................................3
Ventajas...........................................................................................................................................7
Desventajas....................................................................................................................................10
Metodología escogida....................................................................................................................12
Conclusiones..................................................................................................................................13
Referencias bibliográficas.............................................................................................................14
pá g. ii
Introducción
pá g. 1
Objetivos
Objetivo general
Objetivos específicos
pá g. 2
Tabla de comparación
-OCTAVE
ALLEGRO:
pá g. 3
permite analizar
riesgos con mayor
enfoque en activos
de información.
METODO Es aplicable a todo *Construcción de Este se separa *Presentación. *Diagnóstico de *Estudio del
tipo de sistemas y los perfiles de en varios seguridad contexto.
redes de información, amenazas capítulos en los *Análisis de alto
y se puede aplicar en basados en cuales se nivel. *Análisis de los *Expresar las
todas las etapas del activos. explican intereses necesidades de
ciclo de vida del conceptos, *Aprobación. implicados por la seguridad.
sistema de *Identificación de formas de seguridad
información, desde la la infraestructura implementación *Identificación. de *Estudio de las
planificación y de , pasos y riesgo. *Análisis de riesgo amenazas.
viabilidad, a través vulnerabilidades criterios de
del desarrollo e tratamientos de *Estimación del *Expresar los
implementación del *Desarrollo de riesgos. riesgo. objetivos de
mismo. Se puede planes y seguridad.
utilizar si es necesario estrategias de *Evaluación del
para identificar la seguridad. riesgo. *Determinar los
seguridad y/o requerimientos de
requisitos de *Tratamiento del seguridad.
contingencia para un riesgo.
sistema de
información o de la
red. Esto puede
incluir:
*Durante la
planificación de la
estrategia es un
análisis de riesgos de
alto nivel que puede
ser necesaria para
identificar los
requisitos de
seguridad o de
emergencia para la
organización, los
costos relativos y las
implicaciones de su
implementación.
TECNICAS *Evaluación de la *Visión de *Análisis *Tipología y lista *Análisis del
vulnerabilidad. organización mediante tablas de activos contexto,
principales estudiando cuales
*Identificación y *Visión *Análisis son las
valoración de activos. tecnológica. algorítmicos *Análisis de dependencias de
activos: Activos de los procesos del
*Contramedidas de *Planificación de *Arboles de respaldo y negocio respecto
selección y las medidas y ataque vulnerabilidades a los sistemas de
recomendación. Con reducción de información.
respecto a esto, riesgos. *Técnicas *Análisis de
CRAAM calcula los graficas amenazas: *Análisis de las
riesgos para cada Eventos de necesidades de
grupo de activos *Valoración iniciación, actores seguridad y de las
contra las amenazas Delphi y condiciones amenazas,
a las que es específicas. determinando los
vulnerable en una puntos de
escala de 1 a 7, *Elementos de conflicto.
utilizando una matriz reducción de
de riesgo con valores riesgos: Servicios
predefinidos de seguridad *Resolución del
comparando los relevantes, conflicto,
valores de activos a beneficios de los estableciendo los
pá g. 4
las amenazas y servicios de objetivos de
niveles de seguridad. seguridad
vulnerabilidad. En la necesarios y
escala de 1, indica *Establecimiento suficientes, con
una línea base de del contexto. pruebas de su
bajo nivel de cumplimiento y
exigencia de *Daños dejando claros
seguridad y el 7, potenciales: Lista cuales son los
indica un requisito de de posibles riesgos
seguridad muy alto. escenarios de residuales.
Basándose en los riesgos.
resultados, CRAMM
produce una serie de
contramedidas
aplicables al sistema
o red que se
consideran
necesarias para
gestionar los riesgos
identificados.
pá g. 5
Ventajas
Metodología CRAMM
Metodología OCTAVE
pá g. 6
Es una metodología auto dirigida, es decir, la organización gestiona y
dirige la evaluación de sus riesgos a través de un equipo
multidisciplinario.
Metodología MAGERIT
Metodología CORAS
pá g. 7
Metodología MEHARI
Metodología EBIOS
Involucra vulnerabilidades
Métodos de ataque
Desventajas
Metodología CRAMM
Metodología OCTAVE
Metodología MAGERIT
pá g. 9
No involucra recursos
Metodología CORAS
No contempla procesos
No contempla dependencias
Metodología MEHARI
Metodología EBIOS
Metodología escogida
pá g. 11
Conclusiones
El presente trabajo nos ayudó a entender un poco más que las metodologías de
análisis de riesgo ayudan a las organizaciones a tener un mayor control sobre
sus activos, su valor y minimizar las amenazas que pueden impactarlas
obligándolas a seleccionar medidas de seguridad que garanticen el éxito de sus
procesos y una mayor competitividad en el sector que se devuelven.
pá g. 12
Referencias bibliográficas
pá g. 13